Lokale Domain mit HTTPs

[Skudrinka]

Guten Abend,

und zwar komme ich nicht weiter.

Es läuft ein Proxmox, auf dem ich Nginx als reverse Proxy installiert habe.
Eine (wildcard) Domain über Cloudflare erstellt, diese samt Lets encrypt als Host im Proxy erstellt.
Damit ich, vor allem Bitwarden lokal bei mir hosten kann, da es ein gültiges Zertifikat benötigt.
Das Zertifikat binde ich mit einem Token an.

Die DNS umschreibe ich mit AdGuard Home: IP -> Vaultwarden.home.meinedomain.de
Das funktioniert auch, am Desktop-PC wunderbar.
Darüber kann ich all meine Dienste die ich im Proxy eingetragen und in AdGuard umschrieben habe, aufrufen.

Auf meinem Laptop, am Handy, an allen anderen Endgeräten funktioniert die Umschreibung und damit HTTPs allerdings nicht und ich steige nicht dahinter, woran es liegen kann.

Den DNS-Server (AdGuard) habe ich in der Fritte eingetragen, ipv4 sowie 6 - dieser sollte eigentlich alles dahingehend weiterleiten.
Funktioniert aber nicht.
Die neue DNS habe ich auch in meinem Handy eingetragen, zur Sicherheit - daran liegt es aber nicht?!

Warum funktioniert die Umschreibung und somit HTTPs auf meinem Desktop, aber nirgend sonst im Netzwerk?

Hoffe ich habe es verständlich formulieren können, was ich bislang tat, denn es war eine massive LErnkurve für mich gewesen - oder auch nicht


Vielen Dank!

Ergänzung (14. Februar 2025)

Edith, über die IP samt Port kann ich die Dienste auf den anderen Geräten erreichen, allerdings somit ohne HTTPs und damit verweigert Bitwarden auch den Dienst.

 

[SirKhan]

Musst mal in die Einstellungen gucken. Viele Browser und auch Androidbetriebssysteme stellen einen eigenen "sicheren" DNS-Server ein.
Das muss man oft auf "manuell" oder so umstellen, wenn man seinen lokalen DNS nutzen will.

Ich mein, in irgendeinem Internetcafé oder Bahnhof ist diese Einstellung vermutlich auch sicherer als dem DNS des WiFi-Anbieters zu trauen.

 

[madmax2010]

mach den redirect im jeweiligen webserver / reverse proxy

Auf meinem Laptop, am Handy, an allen anderen Endgeräten funktioniert die Umschreibung und damit HTTPs allerdings nicht und ich steige nicht dahinter, woran es liegen kann.

oder meinst du damit, dass die Namensauflösung nicht funktioniert?
dann mach doch mal
nslookup vaultwarden.home.meinedomain.de IP.Der.Fritz.Box
nslookup vaultwarden.home.meinedomain.de IP.Des.Ad.guard

wenn das geht, schau welche DNS Server der jeweiliger Brwoserund OS nutzt

 

[Piktogramm]

Die Angabe um welche Betriebssysteme, etwaige sonstige Software es sich handelt und wo du welche Einstellungen getroffen hast würde helfen.

Die grobe Zusammenfassung ist meistens:

• Die Webbrowser bringen meist ihre eigene DNS-Implementierung mit. Spätestens wie DNS over HTTPS bzw. DNSSEC ignorieren lokale DNS-Server. Sonstige Anwendungen können dieses Verhalten auch zeigen.
• Android ist die DNS-Hölle, hatte schon Androids, die manuelle DNS-Einstellungen komplett ignoriert haben und DNS Anouncements von lokalem DNS sowieso.

------------------------

Fritzboxen können über AVM DYN-DNS, nutze "einfach" das. Wenn dir Zugriffe von Außen nicht Gehäuer sind, dann kannst du die Firewall (vom Server) immernoch so einrichten, dass da nur lokale IPs entgegengenommen werden und Zugriffe von LetsEncrypt um die Certs zu erneuern.

 

[SirKhan]

Was anderes, wenn du meinedomain.de besitzt, kannst du nicht bei deinem Domainanbieter Vaultwarden.home.meinedomain.de auf die lokale IP eintragen, als einfachen A-record?

 

[Skudrinka]

Das muss man oft auf "manuell" oder so umstellen, wenn man seinen lokalen DNS nutzen will.

Tatsächlich, scheinbar habe ich vergessen, dass ich dem Windows auf dem Desktop, in den Netzwerkeinstellungen, die DNS zugeteilt habe.

Dies habe ich jetzt ebenfalls am Laptop gemacht, dort funktioniert es nun ebenso.

Android ist die DNS-Hölle, hatte schon Androids, die manuelle DNS-Einstellungen komplett ignoriert haben und DNS Anouncements von lokalem DNS sowieso.

Tzja, leider habe ich dem Handy die DNS schon mitgeteilt, funktioniert dennoch nicht 🤦‍♀️


Aber wie kann das sein, dass ich die DNS den Geräten einzeln mitteilen muss, wenn ich diese doch in der Fritte eingetragen habe? - Sollte diese nicht alle Verbindungen dahingehend weiterleiten?

kannst du nicht bei deinem Domainanbieter Vaultwarden.home.meinedomain.de auf die lokale IP eintragen

Können vielleicht, aber das möchte ich nicht.
Die Domain soll nicht zu mir zeigen - einfach weil es eben auch mit dem Token funktioniert und mein Wissensstand für alles andere zu gering ist, als dass ich mir sicher sein kann, das ich alles richtig mache

 

[SirKhan]

Ja, aber eine lokale IP wie 192.168.0.5 oder 10.10.10.10 oder was auch immer ist ja nicht vom Internet erreichbar, nur weil die Domain darauf zeigt. Ich kann allerdings verstehen, wenn man selbst das nicht machen will.

 

[Bob.Dig]

Aber wie kann das sein, dass ich die DNS den Geräten einzeln mitteilen muss, wenn ich diese doch in der Fritte eingetragen habe? - Sollte diese nicht alle Verbindungen dahingehend weiterleiten?

Wie schon gesagt, nein. Heutzutage versuchen viele ihr eigenes Süppchen zu kochen. Du musst also auch das Smartphone OS überprüfen und auch noch mal den Browser auf dem Smartphone, etc..

Außerdem IPv6 beachten, solltest du dafür einen öffentlichen Eintrag haben.

 

[Skudrinka]

Heutzutage versuchen viele ihr eigenes Süppchen zu kochen.

Erstaunlich dass sie die DNS-Vorgabe der Fritte, scheinbar, umgehen können.
Dann werde ich zusehen, dass ich allem an jeder Stelle die DNS mitteilen kann.

Außerdem IPv6 beachten, solltest du dafür einen öffentlichen Eintrag haben.

Magst du mir genauer erklären wollen, was du damit meinst?
Bislang habe ich nicht nur die ipv4 die mir Adguard ausspuckt verteilt, sondern auch, die interne, ipv6.

 

[Piktogramm]

Aber wie kann das sein, dass ich die DNS den Geräten einzeln mitteilen muss, wenn ich diese doch in der Fritte eingetragen habe? - Sollte diese nicht alle Verbindungen dahingehend weiterleiten?

Die Router sagen nur via DHCP: DNS ist unter IP XY zu finden
Was die Clients draußen machen ist der Fritte egal, muss ihr egal sein. Einfach so DNS-Requests abfangen und umschreiben ist nicht. Sowas können Lösungen wie PiHole machen, ein Router sollte das aber nie tun (ohne Explizite Einstellung dafür).

Ja, aber eine lokale IP wie 192.168.0.5 oder 10.10.10.10 oder was auch immer ist ja nicht vom Internet erreichbar, nur weil die Domain darauf zeigt. Ich kann allerdings verstehen, wenn man selbst das nicht machen will.

Wenn ich RFC1918 richtig lese sollten öffentliche DNS-Einträge keine IP-Ranges der privaten Blöcke auflösen.
https://www.rfc-editor.org/rfc/rfc1918

Unter Punkt 3

Indirect references to such addresses should be contained within the
enterprise. Prominent examples of such references are DNS Resource
Records and other information referring to internal private
addresses. In particular, Internet service providers should take
measures to prevent such leakage.

 

[RedPanda05]

@Piktogramm das Auflösen von Privaten Adressen geht zumindest bei Strato.

 

[madmax2010]

Was @Piktogramm da sagt war bis vor ~2 Jahren auch meine feste Ansicht.
Eben weil es in der RFC nicht erlaubt ist.

Dann habe ich es mal probiert, und es geht bei jedem Anbieter, bei dem ich Domains habe.
Seitdem tu ich mir einen internen Bind für Kleinkram auch nicht mehr an.

Wenn jemandem die Info etwas bringt, dass meine interne Nextcloud auf 10.2.0.5 und der Backup Storage auf 10.4.0.2 steht, habe ich definitiv andere und akutere Probleme, als diese Information im PublicDNS zu haben

 

[baustoff]

Also ich hab bei mir im lokalen Netz auch einen Proxmox-Server. Auf diesem habe ich u.a. Docker inkl Portainer laufen. Über Portainer habe ich vaultwarden und nginx reserve proxy als Container installiert.
Auf dem Reserve Proxy habe ich meine Cloudfare-Domain (wildcard) via Token und Lets Encrypt SSL Zertifikat eingebunden.
Auf meinem DNS (pihole) habe ich zum einem einen Local DNS-Record für die IP meines Docker-Servers (IP -> docker.home.lan) und auch einen Local CNAME-Record für die finale https Adresse meines Vaultwarden-Services (Domain: vaultwarden.meinedomain.de -> Target: docker.home.lan) hinterlegt.
Im Reverse Proxy hab ich folgenden entsprechenden Proxy-Host Eintrag:
Reiter "Details"

• Domain Name: vaultwarden.meinedomain.de
• Scheme: http
• Forward Hostname / IP: docker.home.lan
• Forward Port: Der Port, der vom Vaultwarden Container genutzt wird
• hab noch "Block Common Exploits" und "websockets Support" aktiviert

Im Reiter "SSL"...

• SSL Certificate: *.meinedomain.de
• "Force SSL", "HTTP/2 Support" und "HSTS Enabled" hab ich auch aktiviert

Mit diesen Einstellungen kann ich von all meinen Geräten (Windows PC, Linux HTPC, Android, Apple usw) auf den Vaultwarden-Service via https uneingeschränkt zugreifen. Evtl. hilft es dir weiter...

 

[NJay]

Erstaunlich dass sie die DNS-Vorgabe der Fritte, scheinbar, umgehen können.

Was heißt hier „umgehen“? Da wird nichts „umgangen“, die Geräte ignorieren einfach die FRITZ!Box. Der DNS-Server den du da Einträgst ist nicht mehr als eine „Empfehlung“, die die FRITZ!Box per DHCP mitteilt. Aber wie soll sie dich dazu zwingen dich daran zu halten? Klar kannst du nun versuchen allen DNS-Traffic nach draußen zu blocken, aber dann beginnt ein Katz und Maus Spiel.

Es hat ja auch seinen Grund. In einem random Internet Café willst du eventuell ja nicht dem DNS-Server Vertrauen, den der Router dir mitteilt. DNS ist im default auch komplett unverschlüsselt. Klar, dank HTTPS bringt einem ein falscher DNS-Server nicht allzu viel, aber es ist durchaus auch ein Sicherheitsrisiko. Deshalb willst du eventuell eben auch auf deinem Gerät einen DNS-Server wählen können.

 

[Skudrinka]

Danke für eure ganzen Antworten!

Einerseits habe ich den DNS Server sowie den Proxy falsch konfiguriert gehabt.
Habe in AdGuard die Umschreibungen auf die IP-Adressen der jeweiligen Dienste gelegt.
Das war wohl falsch.
Nach dem ich die Umschreibung auf den Proxy gelenkt habe, funktionierte das zuverlässig und mit allen Diensten die ich umschrieben habe.

Am Handy blieb mir erstmal nichts anderes übrig, als die App DNS-Charger zu nutzen.
Diese baut eine lokale VPN auf, mit der ich auch die ipv6 DNS Adresse angeben kann.
Damit funktioniert es.
Schade dass man einen solchen Umweg gehen muss.